Bilgisayar korsanlarının en büyük hayali olan UEFI rootkit açığı, gerçek hayata yansımayan bir kavram ve güvenlik açığı olarak konuşulurken, ESET tarafından varlığı keşfedildi. Sednit* tarafından kullanılan bu açık, ESET tarafından çok kritik bir zamanda tespit edildi. UEFI rootkit, kullanım amacı neredeyse sonsuz olanaklara kapı açan bir noktada. 2018 yılının Ağustos ayına kadar gerçek bir saldırıda yakalanamamış olması da ayrı ve ilginç bir detay. Bu tehdidin ne olduğunu anlamak için UEFI ve Rootkit kavramlarını tanımak gerekiyor.
UEFI, Firmware’in yani donanıma ait yazılımın nasıl çalışacağına dair adımların belirlendiği standarda ise UEFI (önceki sürümleri BIOS olarak biliniyordu) denir. Firmware ve UEFI sıklıkla birlikte UEFI firmware olarak anılır.
Rootkit ise, kalıcı ve illegal yollarla donanım ve yazılımların dip seviyelerine ulaşmak için tasarlanmış zararlı yazılımlara verilen isimdir. Rootkit genel olarak sistemdeki varlığını ve/veya diğer zararlı yazılımları görünmez hale getirir. Bu da, sisteminizde bu tip yazılımlar var ise, bunları tespit edemeyeceğiniz anlamına gelmektedir.
ESET, UEFI Rootkit’i nasıl ortaya çıkarttı?
Sednit grubu, geçmişi en net hatırlanan tarih 2004 yılı olmakla birlikte, daha uzun bir geçmişe dayalı olabilir. Tespit edilen ve dikkat çeken başlangıç noktası ise 2004 yılı olarak belirtiliyor. Bu ekibin en dikkat çeken örneği ise 2016 yılında karşımıza çıkıyor. 2016 yılındaki ABD seçimlerinin öncesinde, Demokratik Ulusal Komite‘ye yapılan siber saldırının Sednit grubu tarafından yapıldığı tahmin ediliyor.
TV5Monde ve Dünya Anti-Doping Ajansı gibi markaların sistem ve epostalarına sızılması da, bu grubun dikkat çeken faaliyetleri arasında gösteriliyor.
ESET ekibi, kullanıcıların bilgisayarına sızmak için UEFI rootkit kullanan ilk siber saldırıyı 2018 Eylül ayı içinde keşfetti. ESET tarafından “LoJax” olarak adlandırılan bu rootkit, elde edilen tespitlere göre yukarıda bahsettiğimiz Sednit grubu tarafından kullanılıyor ve Balkanlar ile Doğu Avrupa’daki yüksek profilli hedeflere yöneliyor.
UEFI rootkit saldırısından nasıl korunabilirsiniz?
ESET UEFI Tarayıcısı firmware’i tarayabilen bir yazılımdır. Firmware kodları zararlı yazılım tespit teknolojileri tarafından taranır. ESET kullanıcıları otomatik olarak veya elle yönetilerek bilgisayarların firmware bölümlerini taratıp, düzenli kontrol sağlanabiliyor. Yakalanan zararlı yazılım içerikleri, Tehlikeli Olabilecek Türden Uygulamalar adı altında etiketlenir. Bu tür sistem üzerinde büyük etkisi olabilecek ve kötüye kullanılabilecek uygulamaları kapsar. Eğer kullanıcı veya yönetici kodun varlığından haberdar ise yasal ve gerçek olabilir veya habersizce yüklenmiştir ve zararlıdır.
*APT28, STRONTIUM, Sofacy ve Fancy Bear olarak da bilinen Sednit en azından 2004 yılındna bu yana çalışan bilinen en aktif APT “Gelişmiş Kalıcı Tehdit” grubudur. (APT: Advanced Persistent Threat) Bu gruplar yüksek profilli hedeflerine siber saldırılar ve siber espiyonaj kampanyaları ile bilinirler.